{"id":139,"date":"2020-08-09T02:57:24","date_gmt":"2020-08-09T05:57:24","guid":{"rendered":"http:\/\/vbrain.com.br\/?p=139"},"modified":"2020-08-10T09:20:37","modified_gmt":"2020-08-10T12:20:37","slug":"tipos-de-interfaces-e-modos-no-fortigate-nat-vs-transparent-mode-interface-mode-vs-switch-mode-hardware-switch-x-software-switch-labels-zonas-etc","status":"publish","type":"post","link":"http:\/\/vbrain.com.br\/index.php\/2020\/08\/09\/tipos-de-interfaces-e-modos-no-fortigate-nat-vs-transparent-mode-interface-mode-vs-switch-mode-hardware-switch-x-software-switch-labels-zonas-etc\/","title":{"rendered":"Tipos de interfaces e modos no Fortigate, NAT vs Transparent mode, Interface mode vs Switch Mode, Hardware Switch x Software Switch, Labels, Zonas etc."},"content":{"rendered":"

Bom pessoal, mais um artigo sobre Fortinet saindo do forno.<\/p>\n

Sempre que vou configurar uma nova interface em um Fortigate, me deparo com algumas op\u00e7\u00f5es dispon\u00edveis, e o problema \u00e9 que no meu dia-a-dia de trabalho aparecem Fortigates de modelos diferentes, como exemplo 100D, 1500D, 3200D e tamb\u00e9m em vers\u00f5es diferentes do FortiOS como 5.2, 5.4, 5.8, 6.2, o que de fato altera algumas op\u00e7\u00f5es dispon\u00edveis entre eles e dificulta um pouco o entendimento dos tipos de interfaces.<\/p>\n

O intuito aqui \u00e9 tentar em um \u00fanico artigo, falar um pouco sobre esses tipos de configura\u00e7\u00f5es de interfaces, modos de atua\u00e7\u00e3o dispon\u00edveis de um Fortigate etc.<\/p>\n

Tamb\u00e9m, uma das preocupa\u00e7\u00f5es nesse artigo foi colocar as informa\u00e7\u00f5es na sua ordem devida, ou seja, n\u00e3o adiantaria come\u00e7ar um artigo falando dos “labels” <\/em>dispon\u00edveis para aplicar em uma interface sem exemplificar os tipos de interfaces dispon\u00edveis, nem come\u00e7ar falando de interfaces sem falar antes dos modos como o Fortigate pode trabalhar, o que de fato altera as op\u00e7\u00f5es de tipos de interfaces apresentadas na tela, ou seja, o intuito foi come\u00e7ar falando sobre o “pr\u00e9dio” pelo seu alicerce, e n\u00e3o pelo telhado.<\/p>\n

Antes de mais nada, recomendo altamente o uso do EVE-NG ou PNETLab para cria\u00e7\u00e3o do laborat\u00f3rio, obvio, caso voc\u00ea n\u00e3o tenha algumas caixas de Fortinet em cima da bancada para testar, hehe, as imagens do Fortigate vem com uma licen\u00e7a trial <\/em>de 15 dias, sendo o bastante para a maioria dos testes, vale lembrar tamb\u00e9m que o EVE-NG\/PNETLAB possuem integrados em suas interfaces o Wireshark, VNC, SSH etc, tudo pelo navegador sem a necessidade de ficar realizando v\u00e1rias conex\u00f5es com v\u00e1rios cliques, basta clicar duas vezes em cima de um objeto Windows por exemplo, e o VNC ir\u00e1 abrir, r\u00e1pido e f\u00e1cil. Para quem n\u00e3o conhece esses recursos, recomendo esse post aqui<\/a>.<\/p>\n

\"\"<\/a><\/p>\n

Imagem – Lab de Fortinet no PNETLAB<\/em><\/p>\n

 <\/p>\n

NAT x TRANSPARENT MODE<\/h4>\n

Antes de realizar o deploy <\/em>de um novo appliance<\/em> Fortigate, a primeira escolha deveria ser o modo como o Fortigate vai ser tratado no design da Rede, ou seja, ele ser\u00e1 um gateway entre duas ou mais redes (metodo tradicionalmente escolhido) ou se ele ser\u00e1 um appliance <\/em>transparente, geralmente entre outro firewall e o roteador do provedor de internet.<\/p>\n

NAT\/Router Mode<\/strong><\/p>\n

Esse \u00e9 o modo mais comum, neste modo o Fortigate atua como gateway de duas ou mais redes, sendo o meio de campo, geralmente atuando entre a rede LAN do cliente e as redes WAN\/Internet, neste modo as interfaces do Fortigate possuem IP e s\u00e3o utilizadas como Gateway, e geralmente s\u00e3o utilizados recursos de NAT para tradu\u00e7\u00e3o dos IPs internos com dire\u00e7\u00e3o \u00e0 internet e vice-versa.<\/p>\n

\"\"<\/p>\n

Transparent Mode<\/strong><\/p>\n

Neste modo, de fato o Fortigate \u00e9 implementado de forma transparente, n\u00e3o contendo IP em suas interfaces, o \u00fanico IP que dever\u00e1 ser configurado \u00e9 um IP para ger\u00eancia, esse modo \u00e9 usualmente utilizado quando existe a necessidade de utilizar algumas featuares <\/em>de seguran\u00e7a do FortiOS sem ter a necessidade de realizar qualquer tipo de altera\u00e7\u00e3o na rede, seja de endere\u00e7amento ou roteamento, por\u00e9m, como o Fortigate n\u00e3o atuar\u00e1 como Gateway entre as redes, algumas fun\u00e7\u00f5es n\u00e3o s\u00e3o habilitadas nesse modo.<\/p>\n

\"\"<\/p>\n

Para verificar em qual modo o Fortigate est\u00e1 configurado atualmente, seja NAT mode ou Transparent mode, basta acessar a Dashboard <\/strong>e a informa\u00e7\u00e3o estar\u00e1 na widget <\/em>System Information.<\/strong><\/p>\n

\"\"<\/p>\n

INTERFACE MODE X SWITCH MODE<\/h4>\n

A forma como as interfaces f\u00edsicas do fortigate s\u00e3o configuradas, \u00e9 baseada na escolha do modo do switch interno do fortigate, basicamente, existem dois modos, switch mode<\/strong> e interface mode. <\/strong><\/p>\n

Switch Mode<\/strong><\/p>\n

O modo default<\/em> ao ligar o appliance <\/em>vai depender do modelo de fortigate escolhido, na verdade, o switch mode <\/strong>geralmente s\u00f3 \u00e9 visto em alguns appliances low end, <\/em>geralmente equipamentos que possuem interfaces reservadas para LAN bem definidas, aparentemente tamb\u00e9m esse modo foi removido para todos os appliances <\/em>a partir da vers\u00e3o 5.4.<\/p>\n

Nesse modo, ao ligar o equipamento, todas as interfaces ser\u00e3o tratadas como uma \u00fanica interface LAN, ou seja, todas as interfaces far\u00e3o parte da mesma subrede interna, esse modo \u00e9 viavel quando se tem apenas duas liga\u00e7\u00f5es, uma a LAN e outra a WAN\/INTERNET. De fato, testei alguns dos equipamentos que eu tinha em m\u00e3os no momento, alguns Fortigate 100D e 60E, todos eles estavam em vers\u00f5es suporiores a 5.4.0, e em todos o switch mode n\u00e3o estava presente.<\/p>\n

Caso ao ligar o appliance <\/em>todas as interfaces f\u00edsicas estiverem “invis\u00edveis”, e apenas uma interface f\u00edsica estiver dispon\u00edvel para configura\u00e7\u00e3o, este equipamento estar\u00e1 em switch mode.<\/p>\n

\"\"<\/a><\/p>\n

** Aten\u00e7\u00e3o, mesmo n\u00e3o iniciando em Switch mode, ainda assim, \u00e9 poss\u00edvel agrupar interfaces em modo switch (hardware ou software), veremos no decorrer do post.<\/strong><\/p>\n

Interface Mode<\/strong><\/p>\n

Em interface mode, todas as interfaces f\u00edsicas do fortigate s\u00e3o tratadas individualmente, cada interface pode ter seu pr\u00f3prio IP ou combinadas logicalmente ou virtualmente como parte de um Hardware switch ou Software Switch (falaremos mais a frente), neste modo, as interfaces podem ser configuradas de tal forma que poder\u00edamos ter duas ou mais redes LAN, DMZ, Rede de servidores etc, al\u00e9m das interfaces WAN utilizadas para conex\u00e3o a internet.<\/p>\n

 <\/p>\n

TIPOS DE INTERFACE, HARDWARE SWITCH, SOFTWARE SWITCH E LABELS<\/h3>\n

Ao clicarmos em Interfaes > Create New > Interface:<\/strong><\/p>\n

\"\"<\/a><\/p>\n

Uma tela com algumas op\u00e7\u00f5es de tipos de interfaces ser\u00e1 disponibilizada, dependendo do modelo sendo configurado. N\u00e3o exemplificarei todos os tipos, por\u00e9m os mais comumente utilizados far\u00e3o parte desse post.<\/p>\n

\"\"<\/p>\n

VLAN : <\/strong>como o pr\u00f3prio nome diz, esse tipo de interface atrela um VLAN-ID \u00e0 uma interface f\u00edsica ou virtual, fazendo uma analogia aos roteadores, seria como uma interface vlan <\/em>atrelada \u00e0 uma interface.<\/p>\n

802.3ad : <\/strong>Este modo habilita duas ou mais interfaces serem agrupadas em um LAG (link aggregation), utilizando o protocolo 802.3ad da IEEE, basicamente qualquer switch atual \u00e9 compat\u00edvel com o protocolo, e este tamb\u00e9m dever\u00e1 ser configurado com LAG nas interfaces ligadas ao Fortigate.<\/p>\n

Ao se criar LAG’s, a primeira tarefa ser\u00e1 elencar quais interfaces f\u00edsicas participar\u00e3o desse LAG, ap\u00f3s, ser\u00e1 poss\u00edvel criar “interfaces” VLAN’s <\/strong>atreladas \u00e0 este LAG caso necess\u00e1rio.<\/p>\n

\"\"<\/p>\n

Software Switch: <\/strong>Um Software Switch \u00e9 uma forma de agrupar interfaces f\u00edsicas como se fossem uma s\u00f3, ou seja, \u00e9 poss\u00edvel segmentar um appliance <\/em>com 8 interfaces em 4 switches de 2 interfaces cada, realizando configura\u00e7\u00f5es de uma forma mais automatizada.<\/p>\n

Por exemplo, em um firewall poder\u00edamos criar um software switch contendo as portas f\u00edsicas 5 e 6, no caso, a porta 5 poderia estar ligada \u00e0 rede de usu\u00e1rios cabeada, e a porta 6 \u00e0 rede de usu\u00e1rios Wifi e desta forma compartilharem o mesmo default gateway, sem que existe necessidade de cria\u00e7\u00e3o de regras de firewall permitindo tr\u00e1fego entre essas duas redes.<\/p>\n

\"\"<\/p>\n

Tamb\u00e9m \u00e9 poss\u00edvel configurar interfaces VLAN atreladas ao software switch:<\/p>\n

\"\"<\/p>\n

Hardware Switch: <\/b>basicamente servem ao mesmo prop\u00f3sito, por\u00e9m, diferentemente dos softwares switches que s\u00e3o processados via CPU e podem causar certo processamento a mais no appliance, <\/em>os hardware switches s\u00e3o processados por unidades de processamento espec\u00edficas para essa finalidade, n\u00e3o onerando o processamento geral do appliance. <\/em>Hardware switch n\u00e3o est\u00e1 dispon\u00edvel em todos os modelos de Fortigate.<\/p>\n

 <\/p>\n

LABELS (LAN, WAN, DMZ E UNDEFINED)<\/strong><\/p>\n

Outra op\u00e7\u00e3o que devemos selecionar ao criarmos interfaces no fortigate s\u00e3o as Labels, ou Roles.<\/p>\n

\"\"<\/p>\n

Estas op\u00e7\u00f5es LAN \/ WAN \/ DMZ n\u00e3o t\u00eam nenhuma rela\u00e7\u00e3o real com o funcionamento do FortiGate, elas simplesmente ajustam quais recursos aparecem na interface gr\u00e1fica para o prop\u00f3sito escolhido. Por exemplo, ao escolher WAN, a interface automaticamente muda, dando a op\u00e7\u00e3o de configurar a relativa bandwitch <\/em>da interface e a op\u00e7\u00e3o de DHCP server desaparece. Honestamente, eu escolho ou LAN ou Undefined para a maioria dos casos, independente do prop\u00f3sito dela, claro, existem situa\u00e7\u00f5es que voc\u00ea dever\u00e1 informar a bandwith de um link wan por exemplo utilizando a role WAN, para fins de SD-WAN ou protocolos de roteamento din\u00e2mico.<\/p>\n

 <\/p>\n

ZONES<\/strong><\/p>\n

Voltando a tela de cria\u00e7\u00e3o de interfaces, temos tamb\u00e9m a op\u00e7\u00e3o de criar Zonas:<\/p>\n

\"\"<\/p>\n

As zonas nada mais s\u00e3o do que um artif\u00edcio para agrupar objetos e fazer com que a tabela de regras seja mais “clean”, <\/em>isso mesmo, diferentemente do Software Switch por exemplo que realmente altera como as interfaces s\u00e3o tratadas pelo Firewall, as Zonas permitem agrupar interfaces, VLAN, Software Switches etc, facilitando na hora de criar novas security policies <\/em>e deixando a tabela de regras mais limpa, geralmente eu utilizo zonas para agrupar as interfaces WAN, e Zonas para agrupar determinados grupos de usu\u00e1rios da minha LAN.<\/p>\n

 <\/p>\n

VIRTUAL WIRE PAIR<\/strong><\/p>\n

\"\"<\/p>\n

N\u00e3o entraremos em detalhes das virtual wire pair <\/em>neste momento, pois em um post que eu j\u00e1 estou fazendo sobre a integra\u00e7\u00e3o do NSX-T com Fortigate, elas ser\u00e3o amplamente utilizadas.<\/p>\n

Por\u00e9m, as virtual wire pairs consistem basicamente de duas interfaces sem IP que s\u00e3o ligadas de uma forma virtual , similar ao Transparent Mode j\u00e1 exemplificado aqui, diria at\u00e9 que elas s\u00e3o uma forma de utilizar transparent mode em Fortigates configurados como NAT\/Router mode. Todo o tr\u00e1fego recebido por uma interface poder\u00e1 somente sair pela outra interface configurada dentro do virtual pair, permitindo filtragens e pol\u00edticas de seguran\u00e7a dentro deste t\u00fanel virtual.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Bom pessoal, por hoje \u00e9 s\u00f3, at\u00e9 a pr\u00f3xima \ud83d\ude00<\/p>\n","protected":false},"excerpt":{"rendered":"

Bom pessoal, mais um artigo sobre Fortinet saindo do forno. Sempre que vou configurar uma nova interface em um Fortigate, me deparo com algumas op\u00e7\u00f5es dispon\u00edveis, e o problema \u00e9…<\/p>\n","protected":false},"author":1,"featured_media":168,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-139","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-fortinet"],"jetpack_featured_media_url":"http:\/\/vbrain.com.br\/wp-content\/uploads\/2020\/08\/fprtigatepnetlab-1.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=139"}],"version-history":[{"count":12,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/139\/revisions"}],"predecessor-version":[{"id":171,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/139\/revisions\/171"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media\/168"}],"wp:attachment":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=139"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}